强化SCA与强化SSC之间的差异WebInspect是与SSC匹配的动态代码分析工具。不幸的是，源代码扫描工具fortify采购，他们没有任何良好的CI集成插件来自动化这个每个构建。到目前为止，我看到的大多数共同体解决方案都是在内部开发的。实际上WebInspect（使用WebInspectEnterprise集成到SSC中，这个控制台连接到SSC，有效地创建了一个新版本的AMP）和运行在Java或.NET应用程序上的Runtime产品（以前称为RTA），并且可以在运行时执行各种各样的事情（记录/停止攻击等）-1@Keshi现在他们为Jenkins提供插件，并且可以与JIRA集成。-克里希纳·潘迪2月23日16时5分13分请说明，同样的analyzser.exe（也称为SCA）由AuditWorkbench和各种SCA插件（maven，源代码检测工具fortify采购，Jenkins，eclipse，VisualStudio，IntelliJ，XCode等）调用。SSC不运行SCA。SSC管理从SCA输出的FPR文件。-WaltHouserApr1416at21:07Fortify软件强化静态代码分析器使软件更快地生产语义本分析仪在程序级别检测功能和API的潜在危险用途。基本上是一个聪明的GREP。配置此分析器在应用程序的部署配置文件中搜索错误，源代码审计工具fortify采购，弱点和策略违规。缓冲区此分析仪检测缓冲区溢出漏洞，涉及写入或读取比缓冲区容纳的更多数据。分享这个于十二月二十四日十二时十七分感谢你非常有用的信息。你知道这些分析仪在内部工作吗？如果您提供一些细节，贵州fortify采购，我将非常感谢。-新手十二月2712at4:221有一个很好的，但干燥的书的主题：amazon.com/Secure-Programming-Static-Analysis-Brian/dp/...-LaJmOnNov812at16:09现在还有一个内容分析器，尽管这与配置分析器类似，除非在非配置文件中搜索问题（例如查找HTML，JSPforXPath匹配）-lavamunky11月28日13日11:38@LaJmOn有一个非常好的，但在完全不同的抽象层次，我可以用另一种方式回答这个问题：您的源代码被转换为中间模型，该模型针对SCA的分析进行了优化。某些类型的代码需要多个阶段的翻译。例如，需要先将C＃文件编译成一个debug.DLL或.EXE文件，然后将该.NET二进制文件通过.NETSDK实用程序ildasm.exe反汇编成MicrosoftIntermediateLanguage（MSIL）。而像其他文件（如Java文件或ASP文件）由相应的FortifySCA翻译器一次翻译成该语言。SCA将模型加载到内存中并加载分析器。每个分析器以协调的方式加载规则并将这些角色应用于程序模型中的功能。匹配被写入FPR文件，漏洞匹配信息，安全建议，源代码，源交叉引用和代码导航信息，用户过滤规范，任何自定义规则和数字签名都压缩到包中。fortifysca优点工具支持自动检测版本更新，工具和扫描规则可以方便进行更新，可以以线上、线下多种方式进行升级更新。更新频率不少于4次/年。·测试gao效、速度在可接受的范围内。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。·提供灵活的扫描分析方式，如支持用IDE插件直接扫描程序的目录，支持在命令行下扫描等。源代码检测工具fortify采购-苏州华克斯由苏州华克斯信息科技有限公司提供。源代码检测工具fortify采购-苏州华克斯是苏州华克斯信息科技有限公司今年新升级推出的，以上图片仅供参考，请您拨打本页面或图片上的联系电话，索取联系人：华克斯。)